Siber güvenlik araştırmacıları, kapsayıcı ortamlardaki sık sık tahmini güvenlik açıklarına ışık tutarak, sofistike saldırıları ortaya çıkarmada ana bilgisayar tabanlı günlük analizinin kritik rolünü vurgulamışlardır.
Uygulama bağımlılıklarını kapsülleme ve dağıtım tutarlılığını sağlama yetenekleri için yaygın olarak benimsenen kaplar, sıklıkla büyük ölçüde izole olarak algılanmaktadır.
Bununla birlikte, uzmanların gösterdiği gibi, bu izolasyon, ortak ev sahibi çekirdeğe olan güvenleri nedeniyle mutlak olmaktan uzaktır.
.png
)
Bu mimari nüans, genellikle tehdit tespiti konusunda operasyonel sağlığa öncelik veren kuruluşlar tarafından göz ardı edilen önemli güvenlik riskleri getirmektedir.
Kapsayıcı ortamlarda tehditlerin ortaya çıkması
Birçoğu, uygun günlüğü yapılandırmak için uzmanlık veya araçlardan yoksundur ve onları bu ortamlardaki kötü amaçlı faaliyetlere kör bırakır.
Araştırmacılar, ana bilgisayar tabanlı yürütme günlüklerinden yararlanarak, çalışan kaplar içindeki süreç yürütme zincirini geri yüklemek için teknikler geliştirdiler, tehdit avcılarına ve olay müdahale ekiplerine, sınırlı konteynere özgü izlemeye sahip kurulumlarda bile uzlaşmaların temel nedenini belirlemek için güçlü bir yöntem sunuyorlar.
Teknik inceliklere giren kaplar, ana bilgisayar işletim sistemi çekirdeğini paylaşan, ad alanlarını, kontrol gruplarını (cgroups) ve sendika dosya sistemlerini kaynak yönetimi için paylaşan izole kullanıcı-uzay ortamları olarak çalışır.
Bir kap içindeki her işlem ana bilgisayar üzerinde çalışır, ancak farklı bir ad alanında çalışır, bu da ana bilgisayar tabanlı günlükleri geriye dönük analiz için hayati bir varlık haline getirir.
Araştırmacılar, konteyner oluşturma iş akışının, Containerd veya Cri-O gibi üst düzey koşu zamanlarıyla etkileşime giren Docker CLI veya Kubectl gibi komut satırı araçlarını ve Runc gibi düşük seviyeli koşuları içerdiğini açıklıyor.
Bu çalışma süreleri, kapların ön planda mı yoksa müstakil modda mı çalışmasına bağlı olarak, açık konteyner girişimi (OCI) spesifikasyonlarına göre çekirdek kaynakları tahsis eder.
Konteyner oluşturma kodunu çözme
Müstakil modda, bir şim işlemi genellikle yetim kalmayı önlemek için konteyner süreçlerini benimseyerek alt dizisi olarak işlev görür ve komuta çizgisi bağımsız değişkenleri ilişkili kap kimliğini ortaya çıkarabilir.
Bu içgörü, özellikle iç içe alt işlemlere sahip karmaşık senaryolarda, konteyner kökenlerine kadar kötü niyetli süreçleri izlemek için paha biçilmezdir.
Dikkate değer bir odak, Alpin gibi, kabuk komutlarının doğrudan veya çocuk işlemleri olarak meşgul kutu ikili üzerinden yürütüldüğü, Debian veya Redhat gibi farklı işletim sistemi dağıtımlarını çalıştıran konakçılarda konteynered aktiviteyi tanımlamak için belirgin bir imza sağlar.
Dahası, gerçek dünya soruşturmaları bu yaklaşımın aciliyetinin altını çizmektedir. Son zamanlarda uzlaşma değerlendirmesinde, araştırmacılar, saldırganların Docker CLI’yi Dockerd API’lerini kullanmak için bir konteynerin içine yükledikleri ve Shim sürecinin komuta hattı argümanları boyunca izlenen bir kripto madenciliği kampanyası tespit ettiler.
Başka bir vaka, şüpheli yürütülebilir bir yola sahip “Systemd” adlı aldatıcı bir süreç ortaya çıkardı ve daha sonra üst işlem izleme yoluyla bir kaptan kaynaklandığını doğruladı.
Ayrıca, Runc komutlarının izlenmesi, Base64 kodlu kötü amaçlı yükleri gömenler gibi kötü amaçlı konteyner giriş noktalarının algılanmasını sağladı.
Bu bulgular, konteyner güvenliği bilincinde yaygın bir boşluğu vurgulamaktadır, çünkü birçok kuruluş bu tür tehditleri izlemek veya yanıtlamak için donanımlı kalır.
Konteyner ortamları için genellikle optimize edilmeyen AuditD gibi araçlara güvenmek, ana bilgisayarın konteyner aktivitesinden ayırt edilmesini daha da karmaşıklaştırır.
Konteyner benimsemesi yükselmeye devam ettikçe, bu araştırma, güvenlik ekiplerinin konteyner tabanlı günlükler yoluyla konteyner süreçlerine görünürlüğe öncelik vermeleri için bir uyandırma çağrısı görevi görür ve bu yanlış anlaşılmış izolasyon sınırlarından yararlanan saldırılarla kör olmamalarını sağlar.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!